Troyanos en archivos Flash

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Troyanos en archivos Flash
	VSantivirus No. 600 - Año 6 - Miércoles 27 de febrero de 2002 Troyanos en archivos Flash http://www.vsantivirus.com/27-02-02a.htm Por Jose Luis Lopez videosoft@videosoft.net.uy Una nueva manera de incluir código maligno (como un troyano por ejemplo), ha sido revelada en Internet. Tan grave es esta situación, que Macromedia ha anunciado un parche para tapar la vulnerabilidad de su software Flash Player, el reproductor independiente de archivos Flash. Los archivos Flash, se están haciendo muy populares en la construcción de páginas Web, debido a su calidad, poco tamaño y suave animación. Utilizando una característica indocumentada en la herramienta de autor Flash 5, usada para la creación de películas en ese formato, un usuario descubrió la forma de crear en una animación, un verdadero caballo de Troya, ya que en su interior puede contener un código malicioso (un script que puede ser ejecutado en la máquina de la víctima elegida). Dependiendo lo peligroso del código que se quiera enviar, es más o menos peligroso el envío. La liberalización y ejecución de este código agregado, solo ocurre si la película Flash es visualizada con el Flash Player. La falla en realidad, es la inclusión de un comando no documentado (fscommand:save), que permite grabar a un archivo ciertas variables de la propia película. Una demostración revela como incluir un script que construye un archivo batch en la máquina de la víctima que reproduce la película con el Flash Player. El proceso es automático, y en este caso la víctima solo descubre la presencia del archivo .BAT al reiniciar Windows. Recordemos que hace poco más de un mes, Macromedia, en respuesta a la aparición del primer virus que infecta archivos Flash, eliminó de su reproductor Flash Player, una posibilidad similar a la ahora explotada, que permitía la ejecución de programas externos. El virus, llamado SWF/LFM-926 [ http://www.vsantivirus.com/lfm-926.htm ] no puede infectarnos a través de la visualización de una página Web que contenga una animación en Shockwave. Para que la infección ocurra, es necesario descargar manualmente el archivo .SWF desde el sitio, colocarlo en una misma carpeta donde existan otros archivos .SWF limpios, y ejecutar dicho archivo con el Shockwave Player. El riesgo está en la manipulación del código a través de ActionScript, una característica del producto de Macromedia que permite el desarrollo de interfaces de usuario y aplicaciones. En un artículo de esas fechas, ya comentábamos que para Macromedia, ActionScript era fundamental para el desarrollo de una herramientas de autor. Sin este lenguaje, Flash sería solo un producto para crear animaciones. Pero ActionScript también podría constituirse en el futuro en una gran pesadilla. Con esta vulnerabilidad descubierta ahora, al contrario de lo que ocurría con el virus SWF/LFM-926, también los usuarios comunes, que no poseen la herramienta para hacer películas, son las posibles víctimas de un troyano, o cualquier otro código maligno, por el simple hecho de ejecutar con el Flash Player, un archivo SWF previamente "troyanizado". La solución, es la actualización de este producto desde el sitio de su fabricante, y no aceptar más archivos .SWF sin examinarlos antes con un par de antivirus (asegúrese de incluir la extensión .SWF en la lista de archivos a examinar). Referencias: Macromedia's technical note on the "exec" hole is at http://www.macromedia.com/support/flash/ts/documents/standalone_update.htm Vengy's advisory on the Flash "save" vulnerability http://www.geocities.com/cyber_flash5/ VSantivirus No. 550 - 9/ene/02 SWF/LFM.926. El primer virus de Shockwave del mundo http://www.vsantivirus.com/lfm-926.htm VSantivirus No. 554 - 13/ene/02 Virus en archivos Flash y una solución a medias http://www.vsantivirus.com/13-01-02.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com